從攻防賽事看安全運維的前世今生

網(wǎng)安培訓
近些年,形式各異、各具特色的網(wǎng)絡(luò)安全攻防競賽舉辦的如火如荼,網(wǎng)絡(luò)安全賽事的價值在于不僅能夠推動技術(shù)創(chuàng)新,帶動人才儲備,還能通過擴大賽事影響,刺激產(chǎn)業(yè)需求,同時也為整個產(chǎn)業(yè)鏈輸送安全人才,提升整個國家的網(wǎng)絡(luò)安全水平。

近些年,形式各異、各具特色的網(wǎng)絡(luò)安全攻防競賽舉辦的如火如荼,網(wǎng)絡(luò)安全賽事的價值在于不僅能夠推動技術(shù)創(chuàng)新,帶動人才儲備,還能通過擴大賽事影響,刺激產(chǎn)業(yè)需求,同時也為整個產(chǎn)業(yè)鏈輸送安全人才,提升整個國家的網(wǎng)絡(luò)安全水平。隨著我國提出的建設(shè)網(wǎng)絡(luò)強國的戰(zhàn)略與目標,加快人才培養(yǎng)成為我國經(jīng)濟社會發(fā)展和信息安全體系建設(shè)中的一項長期性、全局性和戰(zhàn)略性的任務(wù)。近年來,我國信息化工作的重心正在逐步從集成建設(shè)階段向安全運營維護階段過渡,安全運維服務(wù)的內(nèi)容博大精深,其主線就是將行業(yè)標準、國際先進經(jīng)驗及專家技能以最佳實踐的方式提供給用戶,最終為客戶的業(yè)務(wù)服務(wù)。由此構(gòu)建出的信息系統(tǒng)安全運維框架主要由合規(guī)性要求、安全運維、風險管控和評審改進組成。

1.jpg

戰(zhàn)略上的失誤,在戰(zhàn)術(shù)上再怎么完善也無法彌補。隨著人們對信息安全的深入理解,信息安全經(jīng)歷了一個從通信安全(COMSEC)到信息安全(INFOSEC)再到信息保障(information assurance,lA)的發(fā)展階段。與此同時,信息安全由傳統(tǒng)的靜態(tài)保護手段開始轉(zhuǎn)變?yōu)橥晟频膭討B(tài)防護機制,安全策略反映出組織對于現(xiàn)實和未來安全風險的認識水平,以及對于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風險的假定與處理。無論是國際上公認的信息安全保障體系模型,還是我國信息安全領(lǐng)域的標準,都是將信息安全策略置于核心地位。確定信息安全策略是有效實施信息安全技術(shù)手段和管理措施的前提。安全運維策略又是信息安全策略的重要組成部分,安全運維策略定義了安全運維要實現(xiàn)的安全目標以及實現(xiàn)這些安全目標的途徑和規(guī)則,是組織經(jīng)過領(lǐng)導層批準并正式發(fā)布和實施的綱領(lǐng)性文件。

2.jpg

安全運維工作主要包括明確服務(wù)需求,并以此形成服務(wù)策劃,組建服務(wù)團隊、編制運維服務(wù)預(yù)算和確定運維服務(wù)范圍。其目的首先是建立科學規(guī)范的安全運維管理體系,進而推動以確保信息系統(tǒng)持續(xù)、穩(wěn)定地運行,最大限度地降低信息系統(tǒng)的運行故障,延長信息系統(tǒng)所涉及設(shè)備的使用壽命;其次,以最快的速度恢復系統(tǒng)的保密性、完整性和可用性,降低安全事件對業(yè)務(wù)系統(tǒng)造成的損失為目的的應(yīng)急響應(yīng);再者,以保障組織目標的實現(xiàn)、保障信息系統(tǒng)安全為目的的優(yōu)化改善;及以提供運維狀態(tài)的安全合規(guī)性評估為目的的監(jiān)管評估四大類安全運維活動的實施。

然而,運維活動持續(xù)時間長,跨度大,在實施安全運維過程中面臨各種不可知風險。這就需要組織從風險管控的角度出發(fā),提供基于運維活動的風險管控服務(wù)。對安全運維過程中可能影響信息系統(tǒng)正常運行的安全因素實施風險評估,對評估中發(fā)現(xiàn)的安全隱患進行相應(yīng)處置,保障信息系統(tǒng)的安全穩(wěn)定運行。

在數(shù)字化轉(zhuǎn)型浪潮推動下,如何提高安全運維有效性、降低運營成本是組織迫切需要解決的問題,在運維評審及持續(xù)改進環(huán)節(jié),要以對安全運維有效性客觀評估為基礎(chǔ),對信息系統(tǒng)和安全運維能力做持續(xù)改進。為新形勢下的國家網(wǎng)絡(luò)空間安全保駕護航,以更堅實的步伐做好信息安全保障服務(wù)。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論